コンソールを使用して CloudTrail イベント用にイベントデータストアを作成する

AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/cloudtrail/で CloudTrail コンソールを開きます。

ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。

[Create event data store] (イベントデータストアの作成) をクリックします。

[Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。

イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「AWS CloudTrail 料金表」と「CloudTrail Lake のコスト管理」を参照してください。

以下のオプションが利用できます。

イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。

CloudTrail Lake は、イベントの eventTime が指定した保持期間内にあるかどうかを確認し、イベントを保持するかどうかを決定します。たとえば、90 日間の保持期間を指定した場合、eventTime が 90 日前よりも古くなると、 CloudTrail はイベントを削除します。

(オプション) AWS Key Management Service を使用した暗号化を有効にするには、[Use my own AWS KMS key] を選択します。[New] (新規) を選択して AWS KMS key を作成するか、[Existing] (既存) を選択して既存の KMS キーを使用します。[Enter KMS alias] (KMS エイリアスを入力) で、alias/MyAliasName のフォーマットのエイリアスを指定します。独自の KMS キーを使用するには、KMS キーポリシーを編集して、イベントデータストアの暗号化と復号を許可する必要があります。詳細については、「CloudTrail の AWS KMS キーポリシーの設定」を参照してください。CloudTrail は、AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

独自の KMS キーを使用すると、暗号化と復号に AWS KMS のコストがかかります。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。

(オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション] で [有効] を選択します。フェデレーションを使用すると、AWS Glue データカタログ内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。AWS Glue データカタログにあるテーブルメタデータにより、Athena クエリエンジンは、クエリするデータを検索、読み込み、および処理する方法を把握できるようになります。詳細については、「イベントデータストアのフェデレーション」を参照してください。

Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。CloudTrail コンソールを使用して新しいロールを作成すると、必要なアクセス許可を付与したロールが CloudTrail により自動的に作成されます。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

(オプション) イベントデータストアにリソースベースのポリシーを追加するには、[リソースポリシーを有効化] を選択します。リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。例えば、他のアカウントのルートユーザーにこのイベントデータストアへのクエリの実行やクエリ結果の表示を許可する、リソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「イベントデータストアのリソースベースのポリシーの例」を参照してください。

リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否されるプリンシパルと、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。

イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。

組織イベントデータストアの場合、CloudTrail は、委任管理者アカウントが組織イベントデータストアで実行できるアクションを一覧表示するデフォルトのリソースベースのポリシーを作成します。このポリシーのアクセス許可は、AWS Organizations の委任管理者アクセス許可から取得されます。このポリシーは、組織イベントデータストアまたは組織が変更されると自動的にアップデートされます (例えば、CloudTrail の委任管理者アカウントが登録または削除された場合)。

(オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。AWS でタグを使用する方法の詳細については、「Tagging AWS Resources User Guide」にある「Tagging AWS resources」を参照してください。

[次へ] を選択して、イベントデータストアを設定します。

[イベントの選択] ページで [AWS イベント] を選択し、次に [CloudTrail イベント] を選択します。

[CloudTrail events] (CloudTrail イベント) で、少なくとも 1 つのイベントタイプを選択します。[Management events] (管理イベント) がデフォルトで選択されています。管理イベント、データイベント、およびネットワークアクティビティイベントをイベントデータストアに追加できます。

(オプション) 既存のトレイルからイベントをコピーして過去のイベントに関するクエリを実行する場合は、[Copy trail events] (トレイルイベントのコピー) を選択します。証跡イベントを組織のイベントデータストアにコピーするには、組織の管理アカウントを使用する必要があります。委任された管理者アカウントは、証跡イベントを組織のイベントデータストアにコピーできません。証跡イベントのコピーに関する考慮事項の詳細については、「証跡イベントのコピーに関する留意事項」を参照してください。

イベントデータストアが AWS Organizations 内のすべてのアカウントからのイベントを収集するようにするには、[Enable for all accounts in my organization] (組織内のすべてのアカウントについて有効化) を選択します。組織に関するイベントを収集するイベントデータストアを作成するには、その組織の管理アカウントまたは委任された管理者アカウントにサインインする必要があります。

[追加設定] を開き、イベントデータストアですべての AWS リージョン のイベントを収集するか、現在の AWS リージョン のイベントのみを収集するか、いずれかを選択し、イベントデータストアでイベントを取り込むかどうかを選択します。デフォルトでは、イベントデータストアは、アカウントのすべてのリージョンからイベントを収集し、データストアの作成時にイベントの取り込みを開始します。

1. 現在のリージョンでログ記録されたイベントのみを含めるときは、[イベントデータストアに現在のリージョンのみを含める] を選択します。このオプションを選択しない場合、イベントデータストアにはすべてのリージョンからのイベントが含まれます。

2. イベントデータストアでイベントの取り込みを開始したくないときは、[イベントを取り込む] の選択を解除します。例えば、証跡イベントをコピーしており、イベントデータストアに未来のイベントを含めたくないときは、[イベントを取り込む] の選択を解除するとよいでしょう。デフォルトでは、イベントデータストアは作成されたときにイベントの取り込みを開始します。

イベントデータストアに管理イベントが含まれている場合は、次のオプションを選択できます。管理イベントの詳細については、「管理イベントのログ記録」を参照してください。

1. [シンプルなイベント収集] または [高度なイベント収集] を選択します。

   • すべてのイベントをログに記録する場合、読み取りイベントのみをログに記録する場合、または書き込みイベントのみをログに記録する場合は、[シンプルなイベント収集] を選択します。AWS Key Management Service および Amazon RDS Data API イベントを除外することもできます。

   • eventName、eventType、eventSource、sessionCredentialFromConsole、userIdentity.arn などの高度なイベントセレクターフィールドの値に基づいて管理イベントを含めるか除外する場合は、[高度なイベント収集] を選択します。

2. [シンプルなイベント収集] を選択した場合、すべてのイベントをログに記録する、読み取りイベントのみをログに記録する、または書き込みイベントのみをログに記録するかを選択します。AWS KMS および Amazon RDS Data API イベントを除外することを選択することもできます。

3. [高度なイベント収集] を選択した場合は、次の選択を行います。

   1. [ログセレクタテンプレート] で、事前定義されたテンプレートを選択するか、[カスタム] を選択して、高度なイベントセレクタフィールド値に基づいてカスタム設定を構築します。

      次の定義済みテンプレートから選択できます。

      • [すべてのイベントをログに記録する] – このテンプレートを選択すると、すべてのイベントを記録します。

      • [読み取りイベントのみをログに記録する] – このテンプレートを選択すると、読み取りイベントのみを記録します。読み取り専用イベントは、Get* または Describe* イベントなど、リソースの状態を変更しないイベントです。

      • [書き込みイベントのみをログに記録する] – このテンプレートを選択すると、書き込みイベントのみを記録します。書き込みイベントは、Put*、Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。

      • [AWS マネジメントコンソール イベントのみをログに記録する] – このテンプレートを選択すると、AWS マネジメントコンソール から発生したイベントのみを記録します。

      • [AWS のサービス によって開始されたイベントを除外する] – このテンプレートを選択すると、eventType が AwsServiceEvent の AWS のサービス イベントと、AWS のサービス にリンクされたロール (SLR) で開始されたイベントを除外できます。

   2. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「AWS マネジメントコンソール セッションからのログ管理イベント」など、高度なイベントセレクタの説明的な名前です。セレクタ名は、拡張イベントセレクタに「Name」と表示され、[JSON ビュー] を展開すると表示されます。

   3. [カスタム] を選択した場合、高度なイベントセレクタで、高度なイベントセレクタフィールド値に基づいて式を構築してください。

      注記

      セレクタは、* のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件と一致させるには、StartsWith、EndsWith、NotStartsWith、または NotEndsWith を使用して、イベントフィールドの先頭または末尾を明示的に一致させることができます。

      1. 次のフィールドから選択します。

         • readOnly - readOnly は、[次と等しい] として true または false の値に設定できます。false に設定すると、イベントデータストアは書き込み専用の管理イベントをログに記録します。読み取り専用管理イベントは、Get* または Describe* イベントなど、リソースの状態を変更しないイベントです。書き込みイベントは、Put*、Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。読み取りイベントと書き込みイベントの両方を記録するには、readOnly セレクタを追加しないでください。

         • eventName - eventName では、任意の演算子を使用できます。これを使用して、CreateAccessPoint や GetAccessPoint などの管理イベントを含めたり除外したりします。

         • userIdentity.arn – 特定の IAM アイデンティティによって実行されたアクションのイベントを含めるか、除外します。詳細については、CloudTrail userIdentity 要素を参照してください。

         • sessionCredentialFromConsole – AWS マネジメントコンソール セッションから発生したイベントを含めるか、除外します。このフィールドは、true の値で [次と等しい] または [次と等しくない] に設定できます。

         • eventSource – これを使用して、特定のイベントソースを含めたり除外したりできます。eventSource は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。例えば、eventSource [次と等しい] を ec2.amazonaws.com に設定して、Amazon EC2 管理イベントのみをログに記録できます。

         • eventType – 含めるまたは除外するイベントタイプ。例えば、このフィールドを [次と等しくない] AwsServiceEvent に設定して、AWS のサービスイベントを除外できます。

      2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。

         CloudTrail が複数の条件を評価する方法については、「CloudTrail がフィールドの複数の条件を評価する方法」を参照してください。

         注記

         イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

      3. [フィールドの追加] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。

   4. オプションで、[JSON view] (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。

4. [Insights イベントキャプチャを有効にする] を選択して、Insights を有効にします。Insights を有効にするには、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集する送信先イベントデータストアを設定する必要があります。

   Insights を有効にすることを選択した場合は、次の手順を実行します。

   1. Insights イベントをログに記録する送信先イベントストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「Insights イベントをログに記録する送信先イベントデータストアを作成するには」を参照してください。

   2. Insights タイプを選択します。[API コールレート]、[API エラー率] のいずれかまたは両方を選択できます。[API コール率] の Insights イベントをログに記録するには、[Write] 管理イベントをログ記録している必要があります。[API エラー率] の Insights イベントをログに記録するには、[Read] または [Write] 管理イベントをログ記録している必要があります。

イベントデータストアにデータイベントを含めるには、次の手順を実行します。

1. リソースタイプを選択します。これは、データイベントがログに記録される AWS のサービス とリソースです。

2. [ログセレクタテンプレート] で、事前定義されたテンプレートを選択するか、[カスタム] を選択して、高度なイベントセレクタフィールドの値に基づいて独自のイベント収集条件を定義します。

   次の定義済みテンプレートから選択できます。

   • [すべてのイベントをログに記録する] – このテンプレートを選択すると、すべてのイベントを記録します。

   • [読み取りイベントのみをログに記録する] – このテンプレートを選択すると、読み取りイベントのみを記録します。読み取り専用イベントは、Get* または Describe* イベントなど、リソースの状態を変更しないイベントです。

   • [書き込みイベントのみをログに記録する] – このテンプレートを選択すると、書き込みイベントのみを記録します。書き込みイベントは、Put*、Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。

   • [AWS マネジメントコンソール イベントのみをログに記録する] – このテンプレートを選択すると、AWS マネジメントコンソール から発生したイベントのみを記録します。

   • [AWS のサービス によって開始されたイベントを除外する] – このテンプレートを選択すると、eventType が AwsServiceEvent の AWS のサービス イベントと、AWS のサービス にリンクされたロール (SLR) で開始されたイベントを除外できます。

3. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名は、拡張イベントセレクタに「Name」と表示され、[JSON ビュー] を展開すると表示されます。

4. [カスタム] を選択した場合、[高度なイベントセレクタ] で高度なイベントセレクタフィールドの値に基づいて式を構築します。

   注記

   セレクタは、* のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件と一致させるには、StartsWith、EndsWith、NotStartsWith、または NotEndsWith を使用して、イベントフィールドの先頭または末尾を明示的に一致させることができます。

   1. 次のフィールドから選択します。

      • readOnly – readOnly は、true または false の値と [等しい] になるように設定できます。読み取り専用データイベントは、Get* または Describe* イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、Put*、Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。read および write イベントの両方を記録するには、readOnly セレクタを追加しないでください。

      • eventName - eventName は任意の演算子を使用できます。これを使用して、CloudTrail に記録されるデータイベント (PutBucket、GetItem、または GetSnapshotBlock) を含めるまたは除外します。

      • eventSource – 含めるまたは除外するイベントソース。このフィールドは任意の演算子を使用できます。

      • [eventType] – 含めるまたは除外するイベントタイプ。例えば、このフィールドを [次と等しくない] AwsServiceEvent に設定して、AWS のサービス のイベント を除外できます。イベントタイプのリストについては、管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ の「eventType」を参照してください。

      • [sessionCredentialFromConsole] – AWS マネジメントコンソールセッションから発生したイベントを含めるか、除外します。このフィールドは、true の値で [次と等しい] または [次と等しくない] に設定できます。

      • [userIdentity.arn] – 特定の IAM アイデンティティによって実行されたアクションのイベントを含めるか、除外します。詳細については、CloudTrail userIdentity 要素を参照してください。

      • resources.ARN – resources.ARN には任意の演算子を使用することができますが、[指定の値に等しい] または [指定の値に等しくない] を使用する場合、値は、テンプレートで resources.type の値として指定したタイプの有効なリソースの ARN と正確に一致する必要があります。

        注記

        resources.ARN フィールドを使用して ARN を持たないリソースタイプをフィルタリングすることはできません。

        データイベントリソースの ARN 形式の詳細については、「サービス認可リファレンス」の「AWS のサービス のアクション、リソース、条件キー」を参照してください。

   2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、イベントデータストアに記録されているデータイベントから 2 つの S3 バケットのデータイベントを除外するには、フィールドを [resources.ARN] に、演算子を [指定の値で始まらない] に設定し、イベントをログに記録しない S3 バケット ARN に貼り付けます。

      2 番目の S3 バケットを追加するには、[条件の追加] を選択した後に上記の手順を繰り返し、ARN に貼り付けるか、別のバケットをブラウズします。

      CloudTrail が複数の条件を評価する方法については、「CloudTrail がフィールドの複数の条件を評価する方法」を参照してください。

      注記

      イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

   3. [フィールドの追加] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタで ARN を値と等しく指定せず、次に、別のセレクタで同じ値に等しくない ARN を指定します。

5. オプションで、[JSON view] (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。

6. データイベントをログに記録する別のリソースタイプを追加するには、[データイベントタイプの追加] を選択します。ステップ a からこのステップまでを繰り返し、リソースタイプの高度なセレクタを設定します。

イベントデータストアにネットワークアクティビティイベントを含めるには、次の手順を実行します。

1. [ネットワークアクティビティイベントソース] から、ネットワークアクティビティイベントのソースを選択します。

2. [Log selector template] (ログセレクタテンプレート) でテンプレートを選択します。すべてのネットワークアクティビティイベントをログに記録したり、すべてのネットワークアクティビティアクセス拒否イベントをログに記録したり、[カスタム] を選択してカスタムログセレクタを構築し、eventName や vpcEndpointId などの複数のフィールドでフィルタリングすることができます。

3. (オプション) セレクターを識別する名前を入力します。セレクタ名は、高度なイベントセレクタに[名前] として表示され、[JSON ビュー] を展開すると表示されます。

4. [高度なイベントセレクタ] で、[フィールド]、[演算子]、[値] の値を選択して式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

   1. ネットワークアクティビティイベントを除外するか含める場合は、コンソールの次のフィールドから選択できます。

      • eventName –では任意の演算子を使用できます。。eventNameこれを使用して、CreateKey などの任意のイベントを含めるか除外することができます。

      • errorCode – エラーコードをフィルタリングするために使用できます。現在サポートされている errorCode は、VpceAccessDenied のみです。

      • vpcEndpointId – オペレーションが通過した VPC エンドポイントを識別します。vpcEndpointId では任意の演算子を使用できます。

   2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。

   3. [フィールドの追加] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。

5. ネットワークアクティビティイベントのログを記録する別のイベントソースを追加するには、[ネットワークアクティビティイベントセレクタの追加] を選択します。

6. オプションで、[JSON view] (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。

イベントデータストアに既存の証跡イベントをコピーするには、次を実行します。

1. コピーするトレイルを選択します。デフォルトでは、CloudTrail は S3 バケットの CloudTrail プレフィックスとプレフィックス内の CloudTrail プレフィックスに含まれる CloudTrail イベントのみをコピーし、他の AWS サービスのプレフィックスはチェックしません。別のプレフィックスに含まれる CloudTrail イベントをコピーする場合は、[Enter S3 URI] (S3 URI を入力)、[Browse S3] (S3 を閲覧) の順に選択してプレフィックスを参照します。証跡のソース S3 バケットがデータ暗号化に KMS キーを使用している場合は、CloudTrail によるデータの復号を KMS キーポリシーが許可するようにしてください。ソース S3 バケットが複数の KMS キーを使用する場合、各キーのポリシーを更新して、CloudTrail によるバケット内のデータの復号を許可する必要があります。KMS キーポリシーの更新の詳細については、「ソース S3 バケット内のデータを復号化するための KMS キーポリシー」を参照してください。

2. イベントをコピーする時間範囲を選択します。CloudTrail は、証跡イベントのコピーを試みる前に、プレフィックスとログファイル名をチェックして、選択した開始日と終了日の間の日付が名前に含まれていることを確認します。[Relative range] (相対範囲) または[Absolute range] (絶対範囲) を選択することができます。ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の時間範囲を選択します。

   注記

   CloudTrail は、イベントデータストアの保持期間内の証跡イベントのうち、eventTime を持つもののみをコピーします。たとえば、イベントデータストアの保持期間が 90 日の場合、CloudTrail は eventTime が 90 日前よりも古い証跡イベントをコピーしません。

   • [相対範囲] を選択した場合、過去 6 か月、1 年、2 年、7 年またはカスタム範囲でログに記録されたイベントをコピーすることを選択できます。CloudTrail は、選択した期間内に記録されたイベントをコピーします。

   • [Absolute range] (絶対範囲) を選択した場合、特定の開始日と終了日を選択できます。CloudTrail は、選択した開始日と終了日の間に発生したイベントをコピーします。

3. [Permissions] (アクセス許可) については、以下の IAM ロールのオプションから選択します。既存の IAM ロールを選択する場合は、IAM ロールポリシーが必要なアクセス許可を提供していることを確認してください。IAM ロールの許可の更新の詳細については、「証跡イベントをコピーするための IAM 許可」を参照してください。

   • [Create a new role (recommended)] (新しいロールの作成 (推奨)) を選択して、新しい IAM ロールを作成します。[Enter IAM role name] (IAM ロール名を入力してください) に、ロールの名前を入力します。CloudTrail は、この新しいロールに必要なアクセス許可を自動的に作成します。

   • リストにないカスタム IAM ロールを使用するには、[カスタム IAM ロール ARN を使用する] を選択してください。[Enter IAM role ARN] (IAM ロールの ARN を入力) で、IAM ARN を入力します。

   • ドロップダウンリストから既存の IAM ロールを選択します。

[次へ] を選択し、リソースタグキーと IAM グローバル条件キーを追加して、イベントを強化します。

[イベントを強化する] で、最大 50 個のリソースタグキーと 50 個の IAM グローバル条件キーを追加して、イベントに関する追加のメタデータを提供します。これにより、関連するイベントを分類して整理できます。

リソースタグキーを追加すると、CloudTrail には API コールに関係したリソースに関連する選択したタグキーが含まれます。削除されたリソースに関連する API イベントにはリソースタグはありません。

IAM グローバル条件キーを追加すると、CloudTrail には、プリンシパル、セッション、ネットワーク、リクエスト自体に関する追加情報など、承認プロセス中に評価された選択した条件キーに関する情報が含まれます。

リソースタグキーと IAM グローバル条件キーに関する情報は、イベントの eventContext フィールドに表示されます。詳細については、「リソースタグキーと IAM グローバル条件キーを追加して、CloudTrail イベントを強化する」を参照してください。

[イベントサイズの拡張] を選択して、イベントペイロードを 256 KB から最大 1 MB まで拡張します。このオプションは、追加したすべてのキーがイベントに含まれるようにリソースタグキーまたは IAM グローバル条件キーを追加すると、自動的に有効になります。

イベントサイズを拡大すると、イベントペイロードが 1 MB 未満であれば、次のフィールドの完全なコンテンツを表示できるため、イベントの分析やトラブルシューティングに役立ちます。

これらのフィールドの詳細については、「CloudTrail レコードの内容」を参照してください。

[Next] (次へ) を選択して、選択内容を確認します。

[Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

これ以降、イベントデータストアは、高度なイベントセレクタに一致するイベントをキャプチャします ([イベントを取り込む] オプションを選択したままにしている場合)。イベントデータストアを作成する前に発生したイベントは、既存の証跡イベントをコピーすることを選択しない限り、イベントデータストアには保存されません。